Закрыть мошенничество в банках
Статья с упоминанием электронной цифровой подпись на SIM-карте, разработке компании "Аладдин Р.Д."
В начале февраля прошла ежегодная выставка-конференция iFin 2014, которая была посвящена системам дистанционного банковского обслуживания и особенно их защите, для которой участники выставки предлагали и аппаратные устройства, и программные решения, и целые комплексы.
В начале февраля прошла ежегодная выставка-конференция iFin 2014, которая была посвящена системам дистанционного банковского обслуживания и особенно их защите, для которой участники выставки предлагали и аппаратные устройства, и программные решения, и целые комплексы. Второй по популярности темой обсуждения стали системы мобильного банкинга, которые тем не менее часто оказываются связанными с первой — мобильные устройства выступают в качестве определённого гаранта безопасности при совершении удалённых транзакций. Мобильные устройства используют и для пересылки одноразовых паролей, и для визуализации реквизитов платежа, и для подтверждения с помощью голосовой связи параметров транзакций.
Внедрение в банках устройств для защиты банковских транзакций было начато ещё в прошлом году. На прошлой выставке как раз появились инструменты для заверения платёжных поручений посредством iPad с присоединенным к нему дополнительным считывателем смарт-карты, который предложила рынку компания "Аладдин Р.Д.". Сейчас этот инструмент интегрировали в свои ДБО-решения для планшетов практически все производители банковского ПО. Однако стало понятно, что подписать документ электронной подписью уже недостаточно, поскольку троянские программы просто видоизменяют платёжное поручение перед его подписанием и отправляют его в банк на исполнение.
Для борьбы с троянцами производители предложили банкам более сложную систему верификации — с помощью специального устройства с небольшим экраном, на котором показываются подробности транзакции. В прошлом году был продемонстрирован считыватель SafeTouch одноименной компании, а в этом свою разработку TrustScreen показали представители компании "Бифит". Предложенное ею устройство совмещает в себе визуализатор транзакций и процессор для изготовления электронной подписи.
Компания "Аладдин Р.Д." ведёт совместный проект с "МегаФоном" и Gemalto по разработке SIM-карты со встроенной российской электронной подписью. В этом случае транзакция формируется на сервере любым способом — с помощью мобильного клиента, планшета или компьютера. По ней генерируется выписка с основными параметрами транзакции и хэшем документа, который передается на мобильный телефон в виде SMS. Работающий в SIM-карте апплет собирает сообщение в единое целое, блокирует операционную систему общего пользования (Android или iOS) и показывает пользователю сообщение от банка на экране самостоятельно. Если пользователь подтверждает транзакцию с помощью специального кода, то сообщение подписывается в SIM-карте и отправляется на сервер банка для исполнения, и только после этого операционная система разблокируется.
Впрочем, клиенты всё равно с недоверием относятся к мобильным банковским клиентам. Некоторые из-за того, что защита кажется им слишком слабой, а некоторые — из-за неудобства постоянного ввода паролей и PIN-кодов. Для решения этой психологической проблемы специалисты по эргономике из компании UsabilityLab рекомендуют дать пользователям выбор из нескольких средства защиты — пользователь должен сам определить, какие из них ему стоит использовать для текущей транзакции. Эксперты по безопасности рекомендуют также и банку ввести лимиты на разные суммы транзакций: минимальные подтверждать паролем или PIN-кодом, более крупные — при помощи дополнительных устройств, а наиболее объёмные — не только с помощью устройств, но и дополнительным звонком клиенту для подтверждения реквизитов.